專利名稱:一種終端在不同管理域間切換的預認證系統及方法
技術領域:
本發明涉及到通信技術領域,尤其涉及一種終端在不同管理域間切換的預認證系 統及方法。
背景技術:
在移動網絡中,終端可以在不同接入點進行切換。如果兩個不同的接入點分別屬 于不同的管理域,則終端在原管理域與目標管理域之間進行切換時,需要進行完整的鑒權 流程。現有技術中終端在兩個管理域之間切換所執行的完整的鑒權,至少存在如下的技 術缺陷1)完整的鑒權流程相對于物理切換,需要較長的時延。2)終端在漫游網絡進行切換時,用戶在本地域進行認證與用戶通過本地域的認證 服務器連接到家鄉認證服務器相比,后者時延要大很多。3)不同管理域接入類型很可能是不同的,不同的接入可能需要不同的認證流程。
發明內容
本發明所要解決的技術問題,在于需要提供一種預認證系統及方法,以減少終端 在不同管理域間進行切換時的切換時延。為了解決上述技術問題,本發明首先提供了一種終端在不同管理域間切換的預認 證方法,用于所述終端在原管理域與目的管理域之間的切換,包括所述終端收到所述原管理域或者目的管理域發送的預認證起始消息后,向家鄉認 證服務器發起預認證請求;所述家鄉認證服務器與所述終端進行預認證交互;在所述預認證成功后,所述家鄉認證服務器向所述終端及目的管理域發送預認證 成功消息。優選地,該方法進一步包括所述終端根據所述預認證成功消息,切換到所述目的管理域。優選地,所述預認證起始消息由所述原管理域中的認證者,或者目的管理域中的 認證者發送給所述終端。優選地,所述終端向所述家鄉認證服務器發起所述預認證請求的步驟,包括所述終端通過所述原管理域和/或者目的管理域,向所述家鄉認證服務器發起所 述預認證請求。優選地,所述家鄉認證服務器與所述終端進行所述預認證交互的步驟,包括所述家鄉認證服務器與所述終端通過所述原管理域和/或者目的管理域,進行所 述預認證交互。優選地,所述預認證起始消息及預認證成功消息,基于擴展認證協議進行擴展;所述預認證交互,基于所述基于擴展認證協議進行。優選地,所述預認證起始消息及所述預認證交互,基于擴展認證協議初始信息擴 展;所述預認證成功消息,基于擴展認證協議結束信息擴展。為了解決上述技術問題,本發明還提供了一種終端在不同管理域間切換的預認證 系統,用于所述終端在原管理域與目的管理域之間的切換,其特征在于,該系統還包括家鄉 認證服務器,其中所述終端,用于收到所述原管理域或者目的管理域發送的預認證起始消息后,向 所述家鄉認證服務器發起預認證請求;家鄉認證服務器,用于與所述終端進行預認證交互,并在所述預認證成功后,向所 述終端及目的管理域發送預認證成功消息。優選地,所述原管理域包含原認證者,所述目的管理域包含目的認證者;所述預認 證起始消息由所述原認證者或者目的認證者發送給所述終端。優選地,所述原管理域和/或者目的管理域,用于將所述終端發起的所述預認證 請求轉發給所述家鄉認證服務器,還用于進行所述預認證交互。本發明通過基于擴展認證協議下的預認證,實現了終端在管理域間的切換,減少 了切換時延。預認證是在終端開始切換之前,預先與目的管理域進行預認證流程,預認證成功 后再進行切換,這樣可以保證用戶在切換后,已經是預認證成功的用戶,減少了切換到目的 管理域后的認證過程,減少了時延,增強了業務連續性。本發明提供的預認證技術,是對擴展認證協議(EAP)的增強,使EAP認證協議更好 的支持預認證方式。另外,本發明技術方案中的認證流程,獨立于現有的認證流程,對現有 的流程沒有任何影響。本發明的其它特征和優點將在隨后的說明書中闡述,并且,部分地從說明書中變 得顯而易見,或者通過實施本發明而了解。本發明的目的和其他優點可通過在說明書、權利 要求書以及附圖中所特別指出的結構來實現和獲得。
附圖用來提供對本發明的進一步理解,并且構成說明書的一部分,與本發明的實 施例一起用于解釋本發明,并不構成對本發明的限制。在附圖中圖1是本發明系統實施例的組成示意圖;圖2是本發明方法第一實施例的流程示意圖;圖3是本發明方法第二實施例的流程示意圖;圖4是本發明方法第三實施例的流程示意圖。
具體實施例方式以下將結合附圖及實施例來詳細說明本發明的實施方式,借此對本發明如何應用 技術手段來解決技術問題,并達成技術效果的實現過程能充分理解并據以實施。需要說明的是,如果不沖突,本發明實施例以及實施例中的各個特征可以相互結 合,均在本發明的保護范圍之內。另外,在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況 下,可以以不同于此處的順序執行所示出或描述的步驟。ERP(ΕΑΡ Extensions for EAP Re-authentication Protocol)用于基于擴展認證 協議(EAP)的統一管理域內的重認證協議。終端在統一管理域內切換時,完全鑒權后產生 的密鑰材料可能沒有過期,如果切換時再進行完全鑒權,增加了切換時延(因為此時完全 可以采用該沒有過期的密鑰材料)。該協議通過擴展EAP的方式,利用完全鑒權中的擴展主 會話密鑰(Extended MasterSession Key, EMSK)進行密鑰推導,使終端與認證服務器進行 重認證,可以減少終端切換的時延。在本發明技術方案中,分別對ΕΑΡ-hitiate信息及ΕΑΡ-Finish信息進行擴展,具 體內容如下對擴展認證協議初始(ΕΑΡ-Initiate)信息進行擴展,增加I^re-auth-start類型, 預認證起始(EAP-Initiate/I^re-auth-start)消息由原管理域或者目的管理域內的認證 者發起,表明該認證者支持EAP預認證方式。擴展EAP-hitiate信息,增加I^re-auth類型。當終端收到包含預認證起始 (Pre-auth-start)類型的 ΕΑΡ-Initiate 信息(艮口 EAP-Initiate/Pre-auth-start 消息) 時,發送I^re-auth類型的EAPHnitiate信息,即預認證請求(EAP-Initiate/^re-auth)消 息,開始預認證流程。對擴展認證協議結束(ΕΑΡ-Finish)信息進行擴展,增加I^re-auth類型。當預 認證流程結束后,目的管理域內的認證者發送EAP-Finish/I^e-auth消息到終端。該 EAP-Finish/Pre-auth消息可能由目的管理域的EAP服務器發送到目的管理域的認證者。圖1是本發明系統實施例的組成示意圖。如圖1所示,本發明系統實施例主要包 括終端110、原管理域中的認證者(稱為原認證者120)和認證服務器(稱為原認證服務器 130)、目的管理域中的認證者(稱為目的認證者140)和認證服務器(稱為目的認證服務器 150),以及家鄉認證服務器160,其中原認證者120,與終端110及原認證服務器130相連,用于向終端110發送預認證 起始消息,并將終端110發送的預認證請求消息發送給原認證服務器130,將原認證服務器 130發送的預認證成功消息發送給終端110 ;目的認證者140,與終端110建立二層連接,并與目的認證服務器150相連,用于向 終端110發送預認證起始消息,并將終端110發送的預認證請求消息發送給目的認證服務 器150,將目的認證服務器150發送的預認證成功消息發送給終端110 ;;終端110,與原認證者120及目的認證者140相連,收到原認證者120或者目的認 證者140發送的預認證起始消息后,向原認證者120或者目的認證者140發送預認證請求 消息,還用于接收原認證者120或者目的認證者140發送的預認證成功消息;原認證服務器130,與原認證者120及家鄉認證服務器160相連,將原認證者120 發送的預認證請求消息發送給家鄉認證服務器160,并將家鄉認證服務器160在預認證成 功后發送的預認證成功消息發送給原認證者120 ;目的認證服務器150,與目的認證者140及家鄉認證服務器160相連,將目的認證 者140發送的預認證請求消息發送給家鄉認證服務器160,并將家鄉認證服務器160在預認 證成功后發送的預認證成功消息發送給目的認證者140 ;
家鄉認證服務器160,與原認證服務器130及目的認證服務器150相連,收到原認 證服務器130或目的認證服務器150發送的預認證請求后,向原認證服務器130或目的認 證服務器150發送預認證成功消息,指示該預認證成功。該終端110與該家鄉認證服務器之間的預認證交互流程,可以通過目的認證者 140、目的認證服務器150、原認證者120以及原認證服務器130等。該目的認證者140向該 終端110發送的該預認證成功消息,可以從具有EAP服務器功能的設備處獲取,該EAP服務 器比如可以是家鄉認證服務器160獲取,也可以是目的認證服務器150。圖1所示的本發明系統實施例,如何實現本發明預認證的流程,請進一步參考圖2 至圖4所示的本發明方法實施例來進一步理解。圖2是本發明方法第一實施例的流程示意圖。在本實施例中,原管理域與目的管 理域有信任關系,其中原管理域包含有原認證者和原認證服務器,該目的管理域包含有目 的認證者和目的認證服務器。如圖2所示,本實施例主要包括如下步驟步驟S210,目的認證者發送預認證起始(EAP-Initiate/I^re-auth-start)消息給 終端;步驟S220,終端收到該EAP-Initiate/I^re-auth-start消息后,向目的認證者發 送預認證請求(EAP-Initiate/I^re-auth)消息;步驟S230,目的認證者收到該EAP-Initiate/I^re-auth消息后,發送預認證請求 到目的認證服務器;步驟S240,目的認證服務器收到預認證請求后,發送預認證請求到家鄉認證服務 器;步驟S250,家鄉認證服務器收到目的認證服務器發送的預認證請求后,與終端進 行預認證交互;本步驟中,目的認證者及目的認證服務器可以參與到預認證交互過程中;步驟S^K),與終端的預認證成功后,家鄉認證服務器發送預認證成功消息到目的 認證服務器;步驟S270,目的認證服務器收到預認證成功消息后,發送預認證成功消息到目的 認證者;步驟S^O,目的認證者收到預認證成功消息后,發送預認證結束(ΕΑΡ-Finish/ Pre-auth)消息到終端,預認證結束。后續的切換過程可以根據該預認證結果進行,如果預認證成功,則切換時可以直 接從原管理域切換到目的管理域,不再需要進行認證流程。圖2所示的實施例中,目的認證服務器和家鄉認證服務器也可以具有EAP服務器 功能。圖3是本發明方法第二實施例的流程示意圖。在本實施例中,原管理域與目的管 理域有信任關系,其中原管理域包含有原認證者和原認證服務器,該目的管理域包含有目 的認證者和目的認證服務器。如圖3所示,本實施例主要包括如下步驟步驟S310,原認證者發送 EAP-Initiate/I^re-auth-start 消息給終端;步驟S320,終端收到該EAP-Initiate/I^re-auth-start消息后,發送預認證請求 EAP-Initiate/Pre-auth 消息到原認證者;步驟S330,原認證者收到該EAP-Initiate/I^re-auth消息后,發送預認證請求到目的認證者;步驟S340,目的認證者收到預認證請求后,發送預認證請求到目的認證服務器;步驟S350,目的認證服務器收到預認證請求后,發送預認證請求到家鄉認證服務 器;步驟S360,家鄉認證服務器與終端進行預認證交互;本步驟中,原認證者、目的認 證者、目的認證服務器可以參與該預認證交互;步驟S370,與終端的預認證成功后,家鄉認證服務器發送預認證成功消息到目的 認證服務器;步驟S380,目的認證服務器收到預認證成功消息后,發送預認證成功消息到目的 認證者;步驟S390,目的認證者收到預認證成功消息后,發送預認證成功消息到原認證 者;步驟S395,原認證者收到預認證成功消息后,發送EAP-Finish/I^re-auth消息到 終端。圖2所示的第一實施例,預認證流程是由目的認證者發起的,因此可以稱之為直 接預認證模式。圖3所示的第二實施例,預認證流程是由原認證者發起的,因此可以稱之為 間接預認證模式。圖4是本發明方法第三實施例的流程示意圖。在本實施例中,原管理域與目的管 理域沒有信任關系,其中原管理域包含有原認證者和原認證服務器,該目的管理域包含有 目的認證者和目的認證服務器。如圖4所示,本實施例主要包括如下步驟步驟S410,原認證者發送 EAP-Initiate/I^re-auth-start 消息給終端;步驟S420,終端收到該EAP-Initiate/I^re-auth-start消息后,發送預認證請求 EAP-Initiate/Pre-auth 消息到原認證者;步驟S430,原認證者收到該EAP-Initiate/I^re-auth消息后,發送預認證請求到 家鄉認證服務器;步驟S440,家鄉認證服務器與終端進行預認證交互;本步驟中,目的認證服務器 也參與到該預認證交互;步驟S450,與終端的預認證成功后,家鄉認證服務器發送預認證成功消息到目的 認證服務器;步驟S460,目的認證服務器發送預認證成功消息到目的認證者;步驟S470,與終端的預認證成功后,家鄉認證服務器發送預認證成功消息到原認 證者;需要說明的是,家鄉認證服務器在與終端的預認證成功后,向原認證者和目的認證者 發送預認證成功消息,并沒有嚴格的時間先后順序;步驟S480,原認證者收到預認證成功消息后,發送EAP-Finish/I^re-auth消息到 終端。需要說明的是,本發明的上述各實施例中的預認證消息,包括預認證起始消息、預 認證請求消息以及預認證結束消息,均是基于EAP認證協議進行擴展而來。實際上,本發明 技術方案也可以通過其他消息來實現。顯然,本領域的技術人員應該明白,上述的本發明的各模塊或各步驟可以用通用的計算裝置來實現,它們可以集中在單個的計算裝置上,或者分布在多個計算裝置所組成 的網絡上,可選地,它們可以用計算裝置可執行的程序代碼來實現,從而,可以將它們存儲 在存儲裝置中由計算裝置來執行,或者將它們分別制作成各個集成電路模塊,或者將它們 中的多個模塊或步驟制作成單個集成電路模塊來實現。這樣,本發明不限制于任何特定的 硬件和軟件結合。 雖然本發明所揭露的實施方式如上,但所述的內容只是為了便于理解本發明而采 用的實施方式,并非用以限定本發明。任何本發明所屬技術領域內的技術人員,在不脫離本 發明所揭露的精神和范圍的前提下,可以在實施的形式上及細節上作任何的修改與變化, 但本發明的專利保護范圍,仍須以所附的權利要求書所界定的范圍為準。
權利要求
1.一種終端在不同管理域間切換的預認證方法,用于所述終端在原管理域與目的管理 域之間的切換,其特征在于,包括所述終端收到所述原管理域或者目的管理域發送的預認證起始消息后,向家鄉認證服 務器發起預認證請求;所述家鄉認證服務器與所述終端進行預認證交互;在所述預認證成功后,所述家鄉認證服務器向所述終端及目的管理域發送預認證成功 消息。
2.如權利要求1所述的方法,其特征在于,該方法進一步包括所述終端根據所述預認證成功消息,切換到所述目的管理域。
3.如權利要求1所述的方法,其特征在于所述預認證起始消息由所述原管理域中的認證者,或者目的管理域中的認證者發送給 所述終端。
4.如權利要求1所述的方法,其特征在于,所述終端向所述家鄉認證服務器發起所述 預認證請求的步驟,包括所述終端通過所述原管理域和/或者目的管理域,向所述家鄉認證服務器發起所述預 認證請求。
5.如權利要求1所述的方法,其特征在于,所述家鄉認證服務器與所述終端進行所述 預認證交互的步驟,包括所述家鄉認證服務器與所述終端通過所述原管理域和/或者目的管理域,進行所述預 認證交互。
6.如權利要求1所述的方法,其特征在于所述預認證起始消息及預認證成功消息,基于擴展認證協議進行擴展;所述預認證交互,基于所述基于擴展認證協議進行。
7.如權利要求6所述的方法,其特征在于所述預認證起始消息及所述預認證交互,基于擴展認證協議初始信息擴展;所述預認證成功消息,基于擴展認證協議結束信息擴展。
8.—種終端在不同管理域間切換的預認證系統,用于所述終端在原管理域與目的管理 域之間的切換,其特征在于,該系統還包括家鄉認證服務器,其中所述終端,用于收到所述原管理域或者目的管理域發送的預認證起始消息后,向所述 家鄉認證服務器發起預認證請求;家鄉認證服務器,用于與所述終端進行預認證交互,并在所述預認證成功后,向所述終 端及目的管理域發送預認證成功消息。
9.如權利要求8所述的系統,其特征在于所述原管理域包含原認證者,所述目的管理域包含目的認證者;所述預認證起始消息由所述原認證者或者目的認證者發送給所述終端。
10.如權利要求8所述的系統,其特征在于所述原管理域和/或者目的管理域,用于將所述終端發起的所述預認證請求轉發給所 述家鄉認證服務器,還用于進行所述預認證交互。
全文摘要
本發明公開了一種終端在不同管理域間切換的預認證系統及方法,能減少終端在不同管理域間進行切換時的切換時延。其中該方法包括終端收到原管理域或者目的管理域發送的預認證起始消息后,向家鄉認證服務器發起預認證請求;家鄉認證服務器與終端進行預認證交互;在預認證成功后,家鄉認證服務器向終端及目的管理域發送預認證成功消息。本發明保證了預認證成功的用戶在切換后,減少切換到目的管理域后的認證過程,減少了時延,增強了業務連續性。
文檔編號H04W12/06GK102065425SQ200910210960
公開日2011年5月18日 申請日期2009年11月12日 優先權日2009年11月12日
發明者王鴻彥, 韋銀星 申請人:中興通訊股份有限公司